Site icon Emsisoft | Sicherheitsblog

Emsisoft veröffentlicht kostenlosen Decrypter für MegaLocker-Ransomware

MegaLocker Decrypter

MegaLocker Decrypter


Unser Forschungsteam hat eine neue Ransomware-Kampagne entdeckt, die als Megalocker oder NamPoHyu-Virus bekannt ist. Der Decrypter für die gefährliche Malware wurde mit Unterstützung der Gruppe Ransomware Hunting Team entwickelt.

Im Folgenden sehen Sie eine Liste der bereits erfolgreichen Entschlüsselungen pro Land.

Erfolgreiche MegaLocker-Entschlüsselungen

Sollten Sie dieser Ransomware zum Opfer gefallen sein, befolgen Sie die Schritte unten und bezahlen Sie keinesfalls das Lösegeld.

Emsisoft-Decrypter für MegaLocker

Technische Daten

MegaLocker ist eine Ransomware, die die Dateien der Opfer mit AES-128 im ECB-Modus verschlüsselt und dann die Endung „.nampohyu“ anhängt. In der Lösegeldforderung „!DECRYPT_INSTRUCTION.TXT“ wird das Opfer aufgefordert, über eine Tor-Webseite mit den Kriminellen Kontakt aufzunehmen.

Die Lösegeldforderung enthält folgenden Text (übersetzt aus dem Englischen):

Was ist mit Ihren Dateien passiert?
Alle Ihre Daten wurden mithilfe des NamPoHyu-Virus durch eine starke Verschlüsselung mit AES cbc-128 geschützt. Was bedeutet das?
Das bedeutet, dass die Strukturen und Daten innerhalb Ihrer Dateien unwiderruflich geändert wurden.
Sie können nicht länger damit arbeiten, sie lesen oder ansehen.
Es ist so, als hätten Sie sie für immer verloren, aber mit unserer Hilfe können Sie sie wiederherstellen. Der Verschlüsselungsschlüssel und die ID sind für Ihren Computer einzigartig. Sie können also sicher sein, dass Sie Ihre Dateien wiederbekommen.
Ihre einzigartige ID: [entfernter Hex-Wert] Was muss ich tun?
Sie können die Entschlüsselung für 1000 $ kaufen.
Bevor Sie bezahlen, können Sie sicherstellen, dass wir auch jede Ihrer Dateien tatsächlich wieder entschlüsseln können. Gehen Sie dazu wie folgt vor:
1) Laden Sie den Tor-Browser herunter und installieren Sie ihn (https://www.torproject.org/download/).
2) Öffnen Sie im Tor-Browser die Webseite http://qlcd3bgmyv4kvztb.onion/index.php?id=[entfernter Hex-Wert] und befolgen Sie die Anweisungen. FAQ: Wie viel Zeit bleibt mir, um für die Entschlüsselung zu bezahlen?
Nach dem Entschlüsseln der Testdateien haben Sie 10 Tage, um das Lösegeld zu bezahlen.
Die Anzahl der zu zahlenden Bitcoins ist auf den Kurs zum Zeitpunkt der Entschlüsselung der Testdateien festgelegt.
Beachten Sie, dass einige Wechsler die Zahlung um 1–3 Tage verzögern! Beachten Sie auch, dass Bitcoin eine sehr unbeständige Währung ist.
Ihr Kurs kann stabil sein, sich aber auch sehr schnell ändern. Daher empfehlen wir Ihnen, die Zahlung innerhalb weniger Stunden vorzunehmen. Wie kann ich Sie erreichen?
Wir unterstützen keinerlei Kontaktaufnahme. Welche Garantien habe ich, dass ich meine Dateien nach der Zahlung des Lösegeldes entschlüsseln kann?
Ihre Hauptgarantie ist die Fähigkeit, die Testdateien zu entschlüsseln.
Das bedeutet, dass wir nach der Lösegeldzahlung alle Ihre Dateien entschlüsseln können.
Wir haben keinen Grund, Sie nach dem Erhalt des Lösegeldes zu hintergehen, da wir keine Barbaren sind und es außerdem unserem Geschäft schaden würde. Wie bezahle ich das Lösegeld?
Nach dem Entschlüsseln der Testdateien wird Ihnen der zu zahlende Betrag in Bitcoins angezeigt und eine Bitcoin-Wallet für die Zahlung.
Je nach Ihrem Standort können Sie das Lösegeld auf verschiedene Arten bezahlen.
Informieren Sie sich über Google
wie Sie in Ihrem Land Bitcoins kaufen können oder bitten Sie erfahrenere Freunde um Hilfe.
Hier einige Links: https://buy.blockexplorer.com – Zahlung per Kreditkarte
https://www.buybitcoinworldwide.com
https://localbitcoins.net Wie kann ich meine Dateien entschlüsseln?
Nach Bestätigung der Zahlung (es dauert in der Regel 8 Stunden, maximal 24 Stunden)
wird Ihnen auf dieser Seite ( http://qlcd3bgmyv4kvztb.onion/index.php?id=[redacted hex] ) ein Link angezeigt, um den Decrypter und Ihren AES-Schlüssel herunterzuladen.
(Besuchen (aktualisieren) Sie dazu einfach einen Tag nach der Zahlung erneut die Seite.)
Laden Sie das Programm herunter und führen Sie es aus.
Achtung! Deaktivieren Sie alle Antivirenprogramme. Sie können die Arbeit des Decoders blockieren.

Kopieren Sie den AES-Schlüssel in das entsprechende Feld und wählen Sie den zu entschlüsselnden Ordner aus!
Das Programm wird alle verschlüsselten Dateien in dem ausgewählten Ordner und seinen Unterordnern scannen und entschlüsseln.
Wir empfehlen Ihnen, dass Sie zunächst einen Testordner anlegen und einige verschlüsselten Dateien hineinkopieren, um die Entschlüsselung zu überprüfen. Über Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
Über den Tor-Browser:
https://www.torproject.org/

Bitte beachten Sie, dass einige URLs in der Lösegeldforderung absichtlich nicht verlinkt sind.

Zur Verwendung des Decrypters benötigen Sie eine der Lösegeldforderungen, die von der Malware hinterlassen wurden.

Entschlüsselte MegaLocker-Ransomware

Hier können Sie sich den Decrypter für die MegaLocker-Ransomware herunterladen.

Der Decrypter wurde auch No More Ransom bereitgestellt, einem von der niederländischen Polizei, Europol und McAfee ins Leben gerufenen und von Strafverfolgungsbehörden unterstützten Projekt. Sein Ziel besteht darin, Opfern kostenlos wieder ihre Dateien zurückzubringen und das Geschäftsmodell der Ransomware-Kriminellen zu untergraben.

Wir wünschen eine schöne (Malware-freie) Zeit.

 

Übersetzung: Doreen Schäfer

Exit mobile version